Microsoft Entra テナントを定義する
Microsoft Entra テナントによって ID とアクセス管理が提供されます。これはセキュリティ態勢の重要な部分です。 Microsoft Entra テナントは、認証され許可されているユーザーが、自身がアクセス許可を持つリソースのみにアクセスできるようにするものです。 Microsoft Entra ID からは、Azure の内外にデプロイされたアプリケーションやサービス (オンプレミスやサードパーティのクラウド プロバイダーなど) にこれらのサービスが提供されます。
Microsoft Entra ID は、Microsoft 365 や Azure Marketplace などのサービスとしてのソフトウェア (SaaS) アプリケーションでも使用されます。 オンプレミスの AD を既に使用している組織は、それを現在のインフラストラクチャと統合し、クラウド認証を拡張できます。 各 Microsoft Entra ディレクトリには 1 つ以上のドメインがあります。 ディレクトリには複数のサブスクリプションを関連付けることができますが、Microsoft Entra テナントは 1 つだけです。
組織で資格情報を管理する方法、人、アプリケーション、プログラムによるアクセスを制御する方法などの基本的なセキュリティの質問は、設計フェーズで行います。
ヒント
複数の Microsoft Entra テナントがある場合は、「Azure ランディング ゾーンと複数の Microsoft Entra テナント」とそれに関連するコンテンツを確認します。
設計上の考慮事項:
Azure サブスクリプションは一度に 1 つの Microsoft Entra テナントのみを信頼できます。詳細については、「Azure サブスクリプションを Microsoft Entra テナントに関連付けるまたは追加する」を参照してください
1 つの加入契約で複数の Microsoft Entra テナントを機能させることができます。 「Azure ランディング ゾーンと複数の Microsoft Entra テナント」を参照してください
Azure Lighthouse では、サブスクリプションとリソース グループのスコープでの委任のみがサポートされています。
各 Microsoft Entra テナントに対して作成されている
*.onmicrosoft.comドメイン名は、「Microsoft Entra ID とは」の用語セクションに示すようにグローバルに固有である必要があります- 各 Microsoft Entra テナントの
*.onmicrosoft.comドメイン名は、いったん作成すると変更できません。
- 各 Microsoft Entra テナントの
すべてのオプションと、それらがどのように関連するかについて完全に理解するには、「自己管理型の Active Directory Domain Services、Microsoft Entra ID、およびマネージド Microsoft Entra Domain Services の比較」を確認してください
Microsoft Entra テナント計画の一環として Microsoft Entra ID によって提供される認証方法をご検討ください
Azure Government を使用している場合、「Azure Government アプリケーションの ID の計画」にある Microsoft Entra テナントに関するガイダンスを確認してください
Azure Government、Azure China 21Vianet、Azure Germany (2021 年 10 月 29 日に終了) を使用している場合、Microsoft Entra ID に関する詳細なガイダンスについては各国のクラウドおよびリージョン クラウドに関するページを確認してください
設計上の推奨事項:
「Microsoft Entra 管理センターを使用してカスタム ドメイン名を追加する」に従って、1 つ以上のカスタム ドメインを Microsoft Entra テナントに追加します
- カスタム ドメイン名がオンプレミスの Active Directory Domain Services 環境に反映されるようにするために、Microsoft Entra Connect の使用を計画または使用している場合は、「Microsoft Entra の UserPrincipalName の設定」を確認してください。
サポートされているトポロジの 1 つに基づき、Microsoft Entra Connect を使用して、Azure シングル サインオン戦略を定義します。
組織に ID インフラストラクチャがない場合は、まず Microsoft Entra のみの ID デプロイを実装します。 Microsoft Entra Domain Services と Microsoft Enterprise Mobility + Security を使用するデプロイによって、SaaS アプリケーション、エンタープライズ アプリケーション、デバイスのエンドツーエンドの保護が実現されます。
Microsoft Entra 多要素認証を使用すると、セキュリティと認証にもう 1 つの層が加わります。 セキュリティを強化するために、すべての特権アカウントに条件付きアクセス ポリシーも適用してください。
テナント全体でアカウントがロックアウトされるのを防ぐため、緊急アクセス用または非常用のアカウントを計画してください。
ID とアクセスの管理には、Microsoft Entra Privileged Identity Management を使用します。
「Microsoft Entra ログを Azure Monitor ログと統合する」のガイダンスに従い、Microsoft Entra 診断ログを中央の Azure Monitor Log Analytics ワークスペースにすべて送信します
複数の Microsoft Entra テナントを作成しないでください。 詳細については、「エンタープライズ規模のテスト アプローチ」および単一ディレクトリと ID で標準化するためのクラウド導入フレームワークに関する Azure ベスト プラクティスのガイダンスを参照してください。
Azure Lighthouse を使用して、サード パーティまたはパートナーに、顧客の Microsoft Entra テナントの Azure リソースへのアクセス権と、マルチテナント Microsoft Entra アーキテクチャの Azure リソースへの一元化されたアクセス権を付与します。